Problemi timeout rete (molto lunga)
Salve a tutti,
ho problemi di timeout (penso) nella mia rete. Questo accade durante la
normale navigazione: clicco di qua, clicco di la ma spesso capita che
il caricamento di una pagina si "interrompe" e firefox vada in timeout.
Come momentanea "soluzione" ho quella si fermare il caricamento della
pagina e di ricaricarla (o cliccare su "aggiorna"), ma anche in questo
caso a volte si ricarica istantaneamente a volte ci mette anche 5
minuti.
Mi sembra capiti casualmente, non sono ancora riuscito a capire quale
sia l'inghippo. Non è solo un problema di http, ma capita anche nei
trasferimenti ftp, etc.
La mia rete è composta da un serverino su sarge e da vari client sid o
win. Il problema si presenta su tutti i pc. Il server sarge è un pII
400, 196 Mb RAM. Come servizi ci girano:
- dhcpd3
- exim
- bind9
- nfs
- samba
- freepops
- apt-proxy
- amuled
- mldonkey
Il server è collegato ad internet tramite router fastweb a cui _non_
no accesso. I client utilizzano dhcp per prendersi l'ip e il DNS del
server (bind9), ho provato ad utilizzare sui client i DNS di fastweb ma
il problema non si risolve. La configurazione di bind è quella di
default debian.
Mi sembra che non il problema non sia il carico eccessivo della
macchina, in quanto anche top riporta:
top - 17:29:25 up 6 days, 23:59, 1 user, load average: 0.14, 0.29, 0.25
Tasks: 52 total, 1 running, 51 sleeping, 0 stopped, 0 zombie
Cpu(s): 3.0% us, 2.0% sy, 0.0% ni, 93.0% id, 0.7% wa, 0.0% hi,
1.3% si
Mem: 192172k total, 190396k used, 1776k free, 12700k buffers
Swap: 249440k total, 42840k used, 206600k free, 34480k cached
Questo è lo script di iptables:
-------------------------
#!/bin/bash
#
# file di configurazione di iptables
# Carico i moduli
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ipt_conntrack
modprobe ipt_LOG
modprobe ipt_multiport
modprobe iptable_mangle
# Cancello tutte le precedenti configurazioni
iptables -F
iptables -X
iptables -Z
# Setto la politica delle catene a DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
IFACE="eth0"
IFACE2="eth1"
LOOP="127.0.0.0/8"
# Cose utili
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
iptables -A INPUT -i $IFACE -s $LOOP -j DROP
# Permetto qualsiasi traffico con eth0
iptables -A INPUT -i $IFACE2 -j ACCEPT
iptables -A FORWARD -i $IFACE2 -j ACCEPT
iptables -A OUTPUT -o $IFACE2 -m state --state ESTABLISHED,RELATED -j
ACCEPT iptables -A FORWARD -o $IFACE2 -m state --state
ESTABLISHED,RELATED -j ACCEPT
# Protezione dal SYN-FLOODING
iptables -N syn-flood
iptables -A INPUT -i $IFACE -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 10 -j RETURN
iptables -A syn-flood -j DROP
iptables -A INPUT -i $IFACE -p tcp ! --syn -m state --state NEW -j DROP
# Vieto i frammenti
iptables -A INPUT -i $IFACE -f -j DROP
iptables -A FORWARD -i $IFACE -f -j DROP
# Mldonkey e amule (INUTILI VISTO CHE SONO NATTATO)
iptables -A INPUT -i $IFACE -p tcp --dport 4662 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 6419 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 4663 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 6346 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 6347 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 6881 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 6882 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 1214 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 6699 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 9999 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 1412 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 4444 -j ACCEPT
iptables -A INPUT -i $IFACE -p tcp --dport 2234 -j ACCEPT
iptables -A INPUT -i $IFACE -p udp --dport 4672 -j ACCEPT
iptables -A INPUT -i $IFACE -p udp --dport 4666 -j ACCEPT
iptables -A INPUT -i $IFACE -p udp --dport 4667 -j ACCEPT
iptables -A INPUT -i $IFACE -p udp --dport 6346 -j ACCEPT
iptables -A INPUT -i $IFACE -p udp --dport 6347 -j ACCEPT
iptables -A INPUT -i $IFACE -p udp --dport 4444 -j ACCEPT
# Apro le connessioni in entrata
iptables -A INPUT -i $IFACE -m state --state ESTABLISHED,RELATED -j
ACCEPT iptables -A FORWARD -i $IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
# Apro le connessioni in uscita
iptables -A FORWARD -o $IFACE -m state --state NEW,ESTABLISHED,RELATED
-j ACCEPT iptables -A OUTPUT -o $IFACE -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
# Consento NEW a tutti i pacchetti non eth0
iptables -A INPUT -i ! $IFACE -m state --state NEW,ESTABLISHED,RELATED
-j ACCEPT iptables -A FORWARD -i ! $IFACE -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ! $IFACE -m
state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Carico il modulo nat
modprobe iptables_nat
# Maschero i pacchetti in uscita
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
# Attivo l'IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
------------------------------------------
Non so dove sbattere la testa :)
Avete qualche suggerimento?
Grazie e ciao
InSa
--
++ Powered by Sid ++
Reply to: